Как вирус Петя (Petya) привел с собой Мишу (Mischa)
- Июль 19, 2017
- 5756
Новый инсталлятор Petya устанавливает Mischa Ransomware, если не удаётся получить административные привилегии. В прошлом, когда устанавливался Petya, то он просил административные привилегии, чтобы потом изменить MBR. Если привилегии получить не удавалось, то установщик ничего плохого на компьютере не делал.
В отличие от Petya, его "брат" Mischa является стандартным вымогателем, который шифрует файлы и требует уплаты выкупа, чтобы получить ключ дешифрования. В настоящее время сумма выкупа за "работу" Миши равна 1,93380 Bitcoins или около $ 875 долларов США.
Установщик Petya-Mischa распространяется через фишинговые email-рассылки. Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. Когда жертва запускает этот файл, то он сначала пытается получить права администратора и установить вирус Petya, чтобы изменить MBR, а если это невозможно, то устанавливается криптовымогатель Mischa, которому админ-права не нужны.
При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. Важно отметить, что Misha шифрует не только стандартные файла документов (PNG, JPG, DOCX и т.д.), но и EXE-файлы. Примечательно, что Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому, чтобы скрыть своё присутствие до некоторого времени.
Вот так выглядит окно вымогателя миши
Способов бесплатного восстановления зашифрованных Misha Ransomware файлов пока нет. Но всегда, после удаления вредоноса, надо проверять состояние томов теневых копий файлов. У некоторых вымогателей есть проблемы с их удалением, некоторые вообще их не удаляют, потому у жертвы в любом случае может быть небольшой шанс восстановить из них хотя бы часть своих данных.
распространяется тем же способом, как и ранние версии, рассылая в офисы компаний резюме претендентов на работу. Этот метод использовался ранее для обмана получателей и запуска установщика Petya. Разумеется, под PDF скрывается EXE-файл.